По словам исследователей, имеющихся у них сведений недостаточно для того, чтобы с точностью определить, кто стоит за атаками. «Почерк» киберпреступников наводит на мысль о группировке FIN6, но некоторые моменты указывают на возможную связь с группировкой EmpireMonkey.
По мнению исследователей, одним из векторов атак являются файлы HTA (HTML Application), выполняющие скрипты PowerShell как часть встроенного VBScript.
Используемое злоумышленниками вредоносное ПО для похищения данных из памяти PoS-терминалов отличается от случая к случаю. В одних случаях они прибегают к инструменту FrameworkPOS, а в других – к PowerShell/WMI для загрузки ПО Cobalt Strike с расширением PowerShell непосредственно в память. Cobalt Strike позволяет атакующим получить контроль над зараженной системой и проникать в другие системы в одной с ней сети. С его помощью злоумышленники могут похищать учетные данные жертв, выполнять код и осуществлять другие вредоносные операции.
Подробнее: https://www.securitylab.ru/news/498203.php